Le Privacy Shield invalidé par la Cour de justice de l’Union européenne
L’accord sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis adopté en juillet 2016, vient d’être annulé par la CJUE (1).
Pour rappel, cet accord ou plutôt cette « décision d’adéquation » visait à reconnaître, aux mécanismes EU–US Privacy Shield (« bouclier de protection des données »), le niveau de protection essentiellement équivalent aux exigences européennes (2) ; l’idée étant de :
- permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis,
- sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise posées par l’Union européenne à travers le RGPD pour autoriser de tels transferts.
Pour bénéficier de la décision d’adéquation, les entreprises américaines devaient donc « s’auto-certifier ». La démarche consistait à s’engager auprès du département du commerce des États-Unis, à respecter :
- un ensemble de règles et
- de garanties en matière de protection des données personnelles.
Le Privacy Shield vs RGPD
Le bouclier de protection des données faisait partie des différents outils permettant de transférer des données personnelles vers les États-Unis ; aux côtés des autres solutions telles que les clauses contractuelles types ou les règles d’entreprise contraignantes.
Le Privacy Shield avait été attaqué dès son adoption, par le militant autrichien de la vie privée Max Schrems. Ce dernier avait déjà obtenu l‘annulation du « Safe Harbor » américain en 2015 (3).
La CJUE vient d’invalider l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective » (4).
Les « clauses contractuelles » demeurent légales en matière de transfert de données
En revanche, la Cour valide une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données (5).
Selon la CJUE, cette décision reste valide par le seul fait que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », en raison de leur caractère contractuel.
En revanche, précise-t-elle, cette validité dépend « du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».
La Cour constate que la décision 2010/87 met en place de tels mécanismes.
Isabelle Pottier
Lexing Département Etudes et publications
(1) CJUE affaire C‑311/18 du 16-07-2020, dit « Schrems II ».
(2) Décision d’exécution (UE) 2016/1250, du 12-07-2016.
(3) CJUE affaire C-362/14 du 06-10-2015, Schrems.
(4) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(5) Décision CE 2010/87 du 5 février 2010.